Grief Ransomware

The Grief Ransomware er en nyopstået hackergruppe, der driver en RaaS (Ransomware-as-a-Service) ordning. På trods af at de har været aktive i et par måneder, har cyberkriminelle formået at hente mere end 20 ofre. Tallet er baseret på de filer, der uploades på Grief Ransomwares datalækage -sted. Et af de potentielle ofre ser ud til at være den græske by Thessaloniki, hvor hackerne udgav en arkivfil som bevis. Aktiviteten viser, at Grief Ransomware -outfit består af erfarne operatører med forbindelser i den underjordiske hackerverden. Faktisk har infosec -forskere fundet overbevisende beviser for, at Grief er en fortsættelse af DoppelPaymer, et ransomware -outfit , der for nylig blev mørkt.

Grief Ransomware kan være en Rebrand af DoppelPaymer

DoppelPaymer lukke deres aktiviteter i kølvandet på de massive ransomware brud, der rystede alle - REvil gå på kompromis med it-styring og fjernovervågning selskab Kaseya og kød leverandør JBs mens DarkSide forstyrret Colonial Pipeline. For at undgå uønsket undersøgelse besluttede flere hackerfora at forbyde ethvert emne vedrørende potentielle RaaS -operationer.

Overlapningerne mellem Grief og DoppelPaymer er for mange og for betydelige til at kunne forklares ved blot tilfældigheder. Begge grupper anvender Dridex botnet til at distribuere deres ransomware nyttelast, som igen anvender det samme krypterede filformat. I de første dage af sorg faldt flere nyttelastprøver med en løsesum, der pudsigt nok pegede de potentielle ofre mod DopplePaymer -portalen. Yderligere ligheder kan opdages ved sammenligning af datalækagerne for de to outfits.

Tingene bliver endnu mere klare, når du tager højde for egenskaberne ved gruppernes ransomware -nyttelast. Begge trusler bruger RSA-2048- og AES-256-krypteringsalgoritmerne, har den samme import-hash og identisk beregning af indgangsforskydning. På den anden side er alle de aktuelt synlige forskelle ikke andet end kosmetisk.